华为ME60业务配置规范1023.docVIP

华为ME60业务配置规范公开华为ME60业务配置规范一、全局配置1） 配置loopback地址在全局配置模式下：Interface loopback 0Description xxxIp address 121.35.12.73 255.255.255.2552） 配置系统名sysname xxx3） 配置super密码super password level 3 cipher XXXXX4） 配置Router id在全局配置模式下Router id 121.35.12.735） 配置上联POS接口interface pos x/x/xlink-protocol hdlcflag c2 c2-value | j0 | j1 1byte-mode 1byte-value | 16byte-mode 16byte-text |64byte-or-null-mode 64byte-text /POS 接口的c2、j0、j1 的缺省值分别为0x16、NetEngine 和NetEngine（十六进制）frame-format sdhscramblemtu 44706） 配置上联GE接口interface GigabitEthernet1/0/1 /缺省为强制全双工模式，MTU=1500 ，关闭arp代理功能 description to-FS-GJ-SR12-GE2/1/9 ip address 121.9.110.93 255.255.255.2527） 配置OSPF在全局配置模式下：Ospf 163 router-id X.X.X.XArea 0.0.0.0maximum load-balancing 8bandwidth-reference 10000Network XXX.XXX.XXX.XXX 8） 配置静态路由ip route-static 0.0.0.0 0.0.0.0 GE*/*/*121.9.110.94 preference 1 description #9） 配置 ip pool在全局配置模式下（这里的顺序即为配置顺序）：#Ip pool xiqiao_163_ippool1 local /拨号地址池gateway 121.34.203.1 255.255.255.0 section 0 121.34.203.2 121.34.203.254 dns-server 202.96.128.68 dns-server 202.96.134.133 secondary#ip pool static local /专线地址池 gateway 58.252.172.126 255.255.255.224 section 0 58.252.172.97 58.252.172.125 excluded-ip-address 58.252.172.97 58.252.172.125注意：这里的section代表一个地址范围，范围是0-7，也就是一个ip pool最多可以有8段地址。当然这8段地址必须与gateway在同一网段。10） 配置Radius组在全局配置模式下：radius-server source interface LoopBack0radius-server dead-count X dead-time Xradius-server group pppoe_autoradius-server authentication 61.140.4.144 1812 weight 0 radius-server authentication 61.140.4.111 1812 weight 0radius-server accounting 61.140.4.144 1813 weight 0 radius-server accounting 61.140.4.111 1813 weight 0 radius-server shared-key szgnetradius-server retransmit X timeout Xradius-server class-as-carradius-server algorithm loading-share注意：在配置Radius组中我们要配置发往Radius Server的IP地址，在这里我们一般选择Loopback地址作为认证地址。该配置需要在全局配置模式下配置：radius-server source interface LoopBack0。该地址也需要在Radius Server侧配置。11） 配置认证、计费模板认证模板中包含认证方式和计费方式，这两种方式里的选项都是相同的，可以作Radius认证（radius），可以作本地认证（local），也可以不认证（none）。默认是Radius认证，所以配置了radius认证后在配置中看不到。命令如下，需要在aaa视图中配置。aaaauthentication-scheme auth_163.gd /拨号用户accounting-scheme acct_163.gdaccounting start-fail online#authentication-scheme auth_static /专线用户authentication-mode noneaccounting-scheme auth_staticaccounting-mode none#authentication-scheme auth_noneauthentication-mode noneaccounting-scheme auth_noneaccounting-mode none12） 配置认证域 ME60通过域（domain）将不通业务的用户区分开来，不同的域用域名区分，比如163.gd和iptv.gd等。具体配置方法如下，在aaa视图下：domain 163.gd authentication-scheme auth_163.gd accounting-scheme acct_163.gd radius-server group pppoe_auto ip-warning-threshold 90 ip-pool xiqiao_163_ippool1 ip-pool xiqiao_163_ippool2 域中定义了该域引用的认证方式、计费方式、地址池和radius组。二、拨号业务ME60的接口是三层接口，所以要通过子接口来终结二层报文。对于PPPOE报文来讲需要配置一个逻辑端口来终结PPP报文。13） 配制虚模版在全局配置模式下：interface Virtual-Template0ppp authentication-mode pap chapppp keepalive interval 30 retransmit 5 ppp delay-lcp-negotiation 14） 配置二层接入端口，QINQ用户在全局配置模式下：interface GigabitEthernet1/0/4.1000 /下联接口的MTU使用缺省值1500 pppoe-server bind Virtual-Template 0 description XXX uservlan 101 2999 qinq 1000bas access-type layer2-subscriber default-domain authentication 163.gd access-limit user-number start-vlan start-vlan end-vlan end-vlan qinq qinq-vlan /设置VLAN 级用户数限制,需与后台沟通确认。15） 配置二层接入端口，普通VLAN用户在全局配置模式下：interface GigabitEthernet1/0/4.1 pppoe-server bind Virtual-Template 0 description XXX uservlan 101 uservlan 201bas access-type layer2-subscriber default-domain authentication 163.gd备注：对于二层接入用户来说存在几个概念：认证前域，认证后域，默认域以及漫游域。认证前域：此域应用于web认证，用来限制用户认证前可访问的地址。认证后域：用户通过认证后属于这个域。默认域：当用户在认证的时候用户名后没有携带任何域信息的时候属于默认域专线业务漫游域：当用户认证时携带的域名在ME60上没有配置的时候采用漫游域认证。实际上配置漫游域只是表明采用漫游域中的地址池以及认证模板。三、DHCP业务#Ip pool test local gateway 121.34.203.1 255.255.255.0 section 0 121.34.203.2 121.34.203.254 dns-server 202.96.128.68 dns-server 202.96.134.133 secondary#aaaauthentication-scheme testauthentication-mode noneaccounting-scheme testaccounting-mode none#domain test authentication-scheme test accounting-scheme test ip-pool test #interface GigabitEthernet1/0/4.1 description XXX uservlan 104bas access-type layer2-subscriber default-domain authentication test authentication-method bind三、专线业务配置专线业务与拨号业务类似，配置步骤如下： 1）进入子接口模式，配置普通VLAN专线用户interface GigabitEthernet1/0/4.1 description XXXuservlan 104bas access-type layer2-subscriber default-domain authentication auth_static authentication-method bind在全局配置模式下配置该专线用户的地址static-user 121.34.241.130 int g 1/0/4.2 vlan 104 detect domain-name auth_static2）进入子接口模式，配置QINQ专线用户interface GigabitEthernet1/0/4.1 description XXXuservlan 104 qinq 1000bas access-type layer2-subscriber default-domain authentication auth_static authentication-method bind在全局配置模式下配置该专线用户的地址static-user 121.34.241.130 int g 1/0/4.2 vlan 104 qinq 1000 detect domain-name auth_static3）专线限速，比如auth_staic域的每个用户上行限2M，下行限4M# scheduler-profile xiansu car cir 2000 pir 2000 cbs 16000 pbs 392000 upstream gts cir 4000 pir 4064 queue-length 65536# qos-profile xiansu scheduler-profile xiansu /队列、丢弃模板使用默认的。#aaadomain auth_staic qos profile xiansu 注意：qos中cbs、pbs设置指导：如果cir*8qos的最大值即(128*1024) * 64 则cbs = cir*8，否则就取最大值；如果cir*188 + cbs 小于 最大值(128*1024) * 64。则Pbs = cir*188 + cbs，否则pbs就为qos的最大值。四、VPDN业务VPDN业务在拨号阶段配置与普通拨号用户配置相同，需要在普通拨号用户的配置下增加两个东西，一个就是在认证域中配置该域为l2tp域，另一个就是需要配置一个l2tp-group，这样用户通过radius认证后可以与LNS进行l2tp协商。按照目前的规划，所有的l2tp属性都是Radius Server下发的。16） 全局使能L2TP l2tp enable17） 配置认证域为L2TP域domain sinopec.gd authentication-scheme auth_163.gd accounting-scheme acct_163.gd radius-server group pppoe_auto l2tp-group gd_vpdn18） 配置L2TP-groupl2tp-group gd_vpdn tunnel name xxxstart l2tp tunnel source LoopBack0五、如何控制用户访问在ME60上由于路由表都是全局的，所以从任何一个域拨上来的用户都可以通过路由访问到外网。而在开展业务的时候会出现配置防病毒列表和类似于IPTV这样的只允许访问部分地址的情况，这时候需要用UCL来控制用户访问，具体配置方法如下：19） 全局模式下配置一个User-group和防病毒ACLuser-group iptv20） 在iptv域中指定该域内的用户属于user-group iptvdomain iptv.gd radius-server group gd_radius user-group iptv/此命令指定该域内的用户属于user-group iptv ip-pool jt-me60-pool-01 21） 配置防病毒列表和两条UCL，一条匹配iptv用户可访问地址，一条匹配全部地址#acl number 6000 description anti_virus rule 5 permit udp destination-port eq 135#acl number 6001 match-order auto description The ACL that IPTV users can not access rule 5 permit ip source user-group iptv#acl number 6002 match-order auto description The ACL IPTV users can access rule 5 permit ip source user-group iptv destination ip-address 202.96.134.134 0 注：UCL编号为6000-999922） 配置流分类，将不同的UCL区分开来traffic classifier per operator and if-match acl 6002traffic classifier deny operator and if-match acl 600123） 配置两个动作，一个是permit，一个是deny，默认为permittraffic behavior per1traffic behavior deny1 deny24） 配置流策略将流与动作关联traffic policy global classifier anti_virus behavior deny1classifier per behavior per1/允许用户访问ACL 6002的网段 classifier deny behavior deny1/不允许用户访问ACL 6001的网段25） 在全局下应用流策略traffic-policy global inbound六、QOS（如何保证一个用户带宽）#IPTV域用户下行保证10M的带宽配置interface GigabitEthernet1/0/0 /BAS的上行接口 description To-NanQu-SR12-1_3/2/7 trust upstream default# scheduler-profile test gts cir 10000 pir 10064 queue-length 65536# qos-profile test scheduler-profile test /队列、丢弃模板使用默认的。# ip pool xiqiao_iptv_ippool1 local gateway 116.20.0.1 255.255.255.0 section 0 116.20.0.2 116.20.0.254 dns-server 202.96.128.86 dns-server 202.96.128.166 secondary #aaaauthentication-scheme auth_iptv.gdaccounting-scheme acct_iptv.gd#domain iptv.gd authentication-scheme auth_iptv.gd accounting-scheme acct_iptv.gd radius-server group pppoe_auto ip-pool xiqiao_iptv_ippool1 qos profile test#interface Virtual-Template0ppp authentication-mode pap chapppp keepalive interval 30 retransmit 5 ppp delay-lcp-negotiation #interface GigabitEthernet1/0/4.1000 pppoe-server bind Virtual-Template 0 description XXX uservlan 101 2999 qinq 1000bas access-type layer2-subscriber default-domain authentication 163.gd七、SNMP配置同路由器配置规范八、动态路由协议 OSPF 路由 配置内容:配置ROUTER-ID配置运行OSPF 接口配置路由重分布规范要求:全网参与OSPF协议的设备使用同一个进程号163，方便管理配置OSPF时应明确定义router-id，为LOOPBAK0 地址整个城域网BRAS 以上设备运行在一个AREA中路由重分布用户路由和BAS POOL池路由时应采用LSA5 type 1方式发布， 只能由城域网核心路由器在OSPF进程中生成default路由，且为LSA5 type 2方式发布，保证设备在双上联中继的情况下能确保default路由的分担记录邻居状态变化METRIC 选取：将OSPF cost自动计算参数设置为10,000,000,000 认证的配置：建议使用链路MD5负载均衡选择8接口类型的选取：尽量使用点对点的类型不能在OSPF 里面启用NETWORK 0.0.0.0 邻居的变化：记录邻居的变化 log-adjacency-changes静态注入到OSPF 路由采用PREFIX 限制注入外部路由的处理：采用E1 类型，同时COST 加1 Import-route static cost 1 type 1 route-policy deny-null请添加模板1、通过ip-prefix定义需要过滤的网段Ip prefix deny-null permit xxxx x2、定义route-policy实施过滤route-policy deny-null deny node 1 if-match ip-prefix null-prefixroute-policy deny-null permit node 23、ospf配置Ospf 163 router-id xxxbandwidth-reference 10000 preference 110 /ospf内部路由优先级为110 preference ase 150 /ospf外部路由优先级为150 silent-interface LoopBack0 /建议配置 import-route static cost 1 type 1 route-policy deny-null import-route unr type 1 / ME60通过该命令引入地址池中的路由到ospf enable log config | state | error interface g 1/0/0 ospf network-type P2P ospf authentication-mode md5 xxx /链路使用md5认证九、一些常用命令26） 查看用户在线信息Display access-user可以查看到目前在线用户数，每个认证域中有多少用户ME60-SZ-JT-01dis access-user - Total users: 2 Normal users: 0 Admin users: 2 Wait authen-ack: 0 Authentication finish: 2 Accounting ready: 2 Realtime accounting: 0 Wait leaving-flow-query: 0 Wait accounting-start: 0 Wait accounting-stop: 0 Wait authorization-client: 0 Wait authorization-server: 0 - Domain-name Current-User Online-User - default0 : 0 :0 default1 : 0 :0 default_admin : 2 :0 163.gd: 0 :0 sinopec.gd : 0 :0 green.gd : 0 :0 iptv.gd : 0 :0 - The used userid table are : 139324 139325 -ME60上可以通过命令查看某一个域，某一块单板，某一个端口的用户，根据用户IP地址，MAC地址，user-id，查看用户详细信息。ME60-SZ-JT-01dis access-user ? DomainDomain InterfaceInterface ip-addressIP address ipv6-addressIPV6 ADDRESS mac-addressMAC slotSLOT user-idUser id usernameUser name27） 查看IP地址池信息Display ip pool该命令可以查看到该设备上配置的IP pool的简要信息ME60-SZ-JT-01dis ip pool - Pool-Name : jt-me60-iptv-pool-01 Pool-No : 0 Position : Local Status : Unlocked Gateway : 121.34.211.254 Mask : 255.255.255.128 Vpn instance : - - Pool-Name : jt-me60-pool-01 Pool-No : 1 Position : Local Status : Unlocked Gateway : 121.34.203.1 Mask : 255.255.255.0 Vpn instance : - - Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2 Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : - IP address pool Statistic Local :3 Remote :0 IP address Statistic Total :503 Used :0 Free :503Conflicted :0 Disable :0Display ip pool name *可以根据ip地址池的名字查看到该地址池的详细信息ME60-SZ-JT-01dis ip pool name jt-me60-leased_line-pool-01 Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2 Lease : 3 Days 0 Hours 0 Minutes Option-Code 0 : - Option-Value 0 : - Option-Code 1 : - Option-Value 1 : - Option-Code 2 : - Option-Value 2 : - Option-Code 3 : - Option-Value 3 : - DNS-Suffix : - Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : - - ID start end total used idle conflicted disable - 0 121.34.241.129 121.34.241.253 125 0 125 0 0 - Display ip pool name * all 可以查看到详细到每个IP地址的具体信息 ME60-SZ-JT-01dis ip pool name jt-me60-leased_line-pool-01 all Pool-Name : jt-me60-leased_line-pool-01 Pool-No : 2 Lease : 3 Days 0 Hours 0 Minutes Option-Code 0 : - Option-Value 0 : - Option-Code 1 : - Option-Value 1 : - Option-Code 2 : - Option-Value 2 : - Option-Code 3 : - Option-Value 3 : - DNS-Suffix : - Primary-DNS : 202.96.128.68 Secondary-DNS : 202.96.134.133 Primary-NBNS : - Secondary-NBNS : - Position : Local Status : Unlocked Gateway : 121.34.241.254 Mask : 255.255.255.128 Vpn instance : - - ID start end total used idle conflicted disable - 0 121.34.241.129 121.34.241.253 125 0 125 0 0 - Section 0 : - Index IP MAC User-ID Lease Status - 0 121.34.241.129 - - - idle 1 121.34.241.130 - - - idle 2 121.34.241.131 - - - idle 3 121.34.241.132 - - - idle -28） 查看用户下线原因display aaa offline-record可以查看到用户的下线原因ME60-SZ-JT-01display aaa offline-record - User name : huaweidefault_admin User MAC : ffff-ffff-ffff User access type : telnet User IP address : 121.34.203.194 User ID : 139323 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle User acct sessionID: ME60-SZ000006553565535d324f9139323 User login time : 2007/02/01 21:09:09 User offline time : 2007/02/01 21:45:59 User offline reason: user request to offline - Are you sure to show some information?(y/n)y:ndisplay aaa offline-record offline-reason 后面跟上相应的参数可以看到不同原因下线的用户信息。 arp_detect_failOffline reason idle_cutOffline reason ppp_echo_failOffline reason ppp_user_requestOffline reason realtime_acct_failOffline reason session_timeoutOffline reason stop_acct_failOffline reason user_requestOffline reason 29） 查看L2TP tunnel，sessionDisplay l2tp tunnel，display l2tp session可以查看到目前存在的l2tp通道和进程。30） 跟踪用户消息ME60支持跟踪用户消息，该消息中包括与Radius交互的消息以及ME60内部各个功能模块的处理消息，在出现故障的时候对用户作一个跟踪非常有效。具体配置步骤如下：全局模式下：ME60-SZ-JT-01trace enableME60-SZ-JT-01trace object ?/可以根据用户名，MAC地址，vlan号来跟踪 access-mode The access mode interface The interface ip-address The IP address mac-address The MAC address pvc The PVC user-name The user name user-vlan The user VLAN ID一般情况下我们会将跟踪的用户消息写到CF卡上，跟踪用户消息的完整命令为：trace object user-name test163.gd output file cfcard:/test.txt九、配置详解（以佛山的某台配置为例）# sysname ME60-FS-XQ-01 /设备命名/# super password level 3 cipher B*%W#ILAWQ=QMAF41! /设置一个用户登录三级权限的密码/# l2tp enable /使能l2tp功能（2层隧道特殊业务如石化、可口可乐、网维等/# router id 61.146.57.106 /配置设备路由地址，与loopback 0 ip address一致 /# user-group iptv.gd /建立用户组，针对不通业务：iptv、10000、eye、1、3/ user-group 10000.gd user-group eye.gd user-group 1 user-group 3 # radius-server source interface LoopBack0 /配置上传radius报文绑定loopback0地址，省管要求/ radius-server dead-count 20 dead-time 60 /radius报文重传和中断时延/radius-server group pppoe_auto /建立一个拨号服务模版/ radius-server authentication 61.140.4.144 1812 weight 0 /指定远程radius服务器1论证ip和端口/ radius-